ESET’teki araştırmacılar, APT-C-50 olarak da adlandırılan Yurtiçi Yavru Kedi korsanlığı grubu tarafından yürütülen mobil gözetim kampanyalarında İran vatandaşlarını hedef alan Android kötü amaçlı yazılımı ‘FurBall’ın yeni bir sürümünü buldu.
Haziran 2021’in başlarında, raporlar, tercüme edilmiş makaleler, dergiler ve kitaplar sağlayan bir İran web sitesinin taklitçisi aracılığıyla bir çeviri uygulaması olarak dağıtıldığını söylüyor.
ESET araştırmacıları, bu yeni sürümün önceki sürümlerle pek çok benzerliği olduğunu, ancak şu anda şaşırtma ve C2 güncellemeleriyle birlikte geldiğini belirtiyor.
APT-C-50 olarak da adlandırılan Yerli Yavru Kedi, daha önce güvenliği ihlal edilmiş mobil cihazlardan hassas bilgileri toplamak amacıyla ilgili kişileri hedef aldığı belirlenen İranlı bir tehdit faaliyet kümesidir. En az 2016’dan beri aktif olduğu biliniyor.
2019’da Trend Micro, Orta Doğu’yu hedef alan ve muhtemelen Yerli Kitten ile bağlantılı kötü niyetli bir kampanya tespit etti ve kampanyaya Bouncing Golf adını verdi.
“İç muhalifler, muhalif güçler, IŞİD savunucuları, İran’daki Kürt azınlık ve daha fazlası dahil olmak üzere İran rejiminin istikrarına tehdit oluşturabilecek İran vatandaşları”, Check Point.
FurBall Android Kötü Amaçlı Yazılımı
Bu kampanyada, FurBall android kötü amaçlı yazılımı, ticari takipçi yazılım aracı KidLogger’a dayalı olarak oluşturuldu. Check Point, “FurBall geliştiricilerinin, GitHub’da bulunan yedi yıl önceki açık kaynaklı sürümden ilham aldığını” söylüyor.
FurBall, kurbanların doğrudan mesajlar, sosyal medya gönderileri, e-postalar, SMS, siyah SEO ve SEO zehirlenmesinden sonra sona erdiği, gerçek sitelerin kopyası olan sahte web siteleri aracılığıyla dağıtılır.
ESET Araştırmacıları, “Bu kötü niyetli Android uygulaması, İngilizce’den Farsçaya çevrilmiş makaleler ve kitaplar sağlayan meşru bir siteyi taklit eden sahte bir web sitesi aracılığıyla teslim ediliyor”.
Araştırmacılar, taklitçinin amacının Farsça “Uygulamayı indir” yazan bir düğmeyi tıkladıktan sonra indirilmek üzere bir Android uygulamasını öne sürmek olduğunu söylüyor.
Sahte sürümde, kullanıcıların çevirmenin Android sürümünü indirmelerine izin verdiği iddia edilen bir Google Play düğmesi var, ancak uygulama mağazasına inmek yerine ‘sarayemaghale.apk.’ adlı bir APK dosyası gönderiliyor.
Bu nedenle, tehdit aktörü uygulama izinlerini genişletirse, aynı zamanda sızma yeteneğine de sahip olacaktır:
- panodan metin,
- cihaz konumu,
- SMS mesajları,
- kişiler,
- arama kayıtları,
- kayıtlı telefon görüşmeleri,
- diğer uygulamalardan gelen tüm bildirimlerin metni,
- cihaz hesapları,
- cihazdaki dosyaların listesi,
- çalışan uygulamalar,
- yüklü uygulamaların listesi ve
- cihaz bilgisi.
Analiz ettiği örneğe göre sınırlı işlevselliğe sahiptir, yalnızca kişilere ve depolama ortamına erişim talep eder.
Kurulumun ardından Furball, C&C sunucusuna her 10 saniyede bir komutların yürütülmesini isteyen bir HTTP isteği gönderir.
Bu nedenle araştırmacılar, sınıf adlarında, yöntem adlarında, bazı dizelerde, günlüklerde ve sunucu URI yollarında gizlemenin görülebileceğini söylüyor.
“İran vatandaşlarını hedef almak için taklit web sitelerini kullanan Yerli Yavru Kedi kampanyası hala aktif. Operatörün hedefi, tam özellikli Android casus yazılımını dağıtmaktan daha hafif bir varyanta doğru biraz değişti”, diyor ESET araştırmacıları.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin